Privacy Policy

Informativa Privacy ai sensi dell'art. 13 del Regolamento UE 2016/679 ADV GROUP di P.F., con sede in Via Roveredo 20/b, 33170 Pordenone, P.IVA 01661510931 (di seguito anche solo "ADV"), quale titolare del sito www.reception24.com (di seguito il "Sito") e delle relative WebApp, Chatbot e piattaforma SaaS Reception24 e Assistant24 (di seguito la "Piattaforma"), ai sensi dell'art. 13 del Regolamento UE 2016/679 (di seguito "GDPR") ed in relazione ai dati personali di cui entrerà in possesso, informa l'Utente di quanto segue. 1. Tipologia dei dati personali soggetti a trattamento 1.1 I dati personali che saranno soggetti al trattamento da parte di ADV sono i seguenti: a) Dati identificativi forniti dall'Utente: nome, cognome, indirizzo email, password (conservata esclusivamente in forma crittografata tramite hash), immagine del profilo (opzionale). b) Dati forniti tramite autenticazione con terze parti: qualora l'Utente scelga di registrarsi tramite Google o Apple, ADV riceverà nome e indirizzo email associati all'account. Non vengono conservate le credenziali di accesso a Google o Apple. c) Dati della struttura ricettiva: nome, indirizzo, città, sito web, telefono, email, link di prenotazione, configurazione del chatbot (nome, avatar, tono, lingue, colori), knowledge base testuale, prompt personalizzati. d) Dati degli ospiti raccolti tramite il chatbot: identificativo ospite (opzionale, es. nome o numero di camera), messaggi della conversazione, analisi del sentiment, feedback e valutazioni sulla struttura. e) Dati degli ospiti raccolti tramite richieste di recensione: nome, telefono, email, data di checkout — esclusivamente previo consenso esplicito dell'ospite (GDPR). f) Dati relativi ai pagamenti: identificativo cliente Stripe, piano sottoscritto, intervallo di fatturazione, stato dell'abbonamento. I dati della carta di credito non vengono mai memorizzati da ADV — sono gestiti interamente da Stripe, Inc. g) Dati di navigazione raccolti automaticamente: indirizzo IP, user agent del browser, preferenza di lingua, dati di sessione (token, data di scadenza). h) Dati di utilizzo: conteggio messaggi chatbot mensili per struttura, conteggio token AI utilizzati (per la fatturazione), eventi di interazione (click su QR code, menzioni di servizi nella chat, click su link di prenotazione). i) Dati di attribuzione marketing (first-touch): sorgente di traffico (utm_source), mezzo (utm_medium), campagna (utm_campaign), pagina di atterraggio, referrer, tipo di dispositivo, data della prima visita. j) File caricati dall'Utente: immagini e documenti PDF (massimo 5 MB per file). k) Dati di navigazione raccolti tramite cookie analitici: si rimanda alla sezione 3bis e all'informativa cookie. 1.2 I dati personali saranno forniti ad ADV volontariamente dall'interessato per via telematica al momento della registrazione, della compilazione dei moduli presenti nel Sito o nella Piattaforma, o dell'utilizzo del chatbot. 2. Base giuridica e finalità del trattamento 2.1 I dati personali saranno trattati ai sensi del GDPR per le seguenti finalità e basi giuridiche: a) Registrazione, gestione dell'account e erogazione del servizio (chatbot AI, dashboard, knowledge base, gestione strutture, QR code, raccolta feedback): base giuridica — esecuzione del contratto (art. 6.1.b GDPR). b) Gestione dei pagamenti, fatturazione, abbonamenti e crediti messaggi: base giuridica — esecuzione del contratto e adempimento di obblighi legali (art. 6.1.b e 6.1.c GDPR). c) Invio di email transazionali (conferma account, verifica email, reset password, conferma acquisto, rinnovo, fatture): base giuridica — esecuzione del contratto (art. 6.1.b GDPR). d) Sicurezza e prevenzione abusi (rate limiting per indirizzo IP, audit log delle operazioni sensibili, prevenzione accessi non autorizzati): base giuridica — legittimo interesse (art. 6.1.f GDPR). e) Analisi statistiche del sito web tramite Google Analytics: base giuridica — consenso dell'interessato (art. 6.1.a GDPR), attivato solo dopo approvazione esplicita tramite il banner cookie. f) Attribuzione marketing interna (tracciamento first-touch delle sorgenti di traffico, campagne e landing page): base giuridica — legittimo interesse (art. 6.1.f GDPR). I dati sono utilizzati esclusivamente per valutare l'efficacia delle campagne pubblicitarie e non vengono condivisi con terzi. g) Con il consenso espresso dell'utente, i dati potranno essere usati per attività di comunicazione commerciale relativi ad offerte di prodotti o servizi ulteriori del Titolare o di servizi analoghi da parte di Terzi. Base giuridica di questo trattamento è il consenso liberamente espresso dall'interessato. h) Adempimenti fiscali e contabili: base giuridica — obbligo legale (art. 6.1.c GDPR). Al di fuori di queste ipotesi i dati di navigazione degli utenti vengono conservati per il tempo strettamente necessario alla gestione delle attività di trattamento nei limiti previsti dalla legge. 3. Modalità del trattamento dei dati personali — Requisiti di sicurezza e riservatezza 3.1 Il trattamento dei dati personali da parte del titolare del trattamento o degli eventuali responsabili del trattamento avverrà mediante strumenti informatici e telematici e attraverso l'organizzazione degli stessi in banche dati avente forma prevalentemente automatizzata. I dati saranno conservati in apposito archivio nel rispetto delle misure tecniche ed organizzative necessarie per garantire la sicurezza degli stessi. 3.2 ADV garantisce la massima riservatezza dei dati personali adottando le seguenti misure di sicurezza: • Crittografia delle password tramite hashing • Comunicazioni protette tramite protocollo HTTPS (TLS) • Autenticazione sicura con verifica email obbligatoria • Rate limiting per prevenire attacchi brute-force • Accesso al database limitato e protetto • Monitoraggio e audit log delle operazioni sensibili • Cookie di sessione httpOnly per prevenire accessi non autorizzati 3.3 I dati personali degli ospiti raccolti tramite il chatbot saranno comunicati esclusivamente ai gestori della struttura ricettiva di cui l'utente è ospite, per le finalità indicate al punto 2.1. 3.4 Le conversazioni con il chatbot AI vengono elaborate da un modello linguistico (LLM). I messaggi inviati al modello comprendono la knowledge base della struttura e i messaggi della conversazione in corso. Questi dati sono utilizzati esclusivamente per generare le risposte e non sono usati per addestrare i modelli di intelligenza artificiale. Non vengono effettuate decisioni automatizzate ai sensi dell'Art. 22 del GDPR che producano effetti giuridici o incidano significativamente sugli interessati. L'AI genera proposte di risposta che possono essere riviste e modificate dal dall'utente e/o dall'ospite. Ai sensi dell'Art. 50 del Regolamento (UE) 2024/1689 (AI Act), si informa che le comunicazioni generate dal Servizio possono essere prodotte o assistite da sistemi di intelligenza artificiale. Il property manager è tenuto a informare i propri ospiti dell'utilizzo di sistemi AI nella gestione delle comunicazioni. 3.5 I dati personali potranno essere trasferiti verso Paesi Terzi, nel rispetto delle previsioni del GDPR e delle norme di legge vigenti in materia (si veda il punto 6). 3bis. Cookie e tecnologie di tracciamento 3bis.1 Cookie tecnici (necessari, senza consenso): • Cookie di sessione: per mantenere l'autenticazione durante la navigazione • NEXT_LOCALE: per memorizzare la preferenza di lingua dell'utente • ft_utm: cookie funzionale httpOnly per l'attribuzione marketing interna (first-touch), non contiene identificativi personali 3bis.2 Cookie analitici (previo consenso): • Google Analytics: attivato esclusivamente dopo il consenso esplicito dell'utente tramite il banner cookie. Il consenso è memorizzato localmente nel browser (localStorage). 3bis.3 Al primo accesso viene mostrato un banner per la gestione dei cookie. L'utente può accettare tutti i cookie, rifiutare i cookie non necessari, o modificare le proprie preferenze in qualsiasi momento. 4. Conferimento dei dati e conseguenze dell'eventuale rifiuto 4.1 I dati personali in possesso di ADV e oggetto di trattamento sono quelli forniti volontariamente dall'interessato al momento della registrazione alla Piattaforma, dell'autenticazione tramite Google o Apple, o della compilazione dei moduli presenti sul Sito o nella Piattaforma. 4.2 A parte quanto specificato per i dati di navigazione, l'utente è libero di fornire i dati personali per richiedere i servizi offerti dal Titolare. Il loro mancato conferimento può comportare l'impossibilità di ottenere quanto richiesto. 5. Periodo di conservazione dei dati personali e revoca del consenso 5.1 I dati personali verranno conservati secondo le seguenti tempistiche: • Dati dell'account utente: fino alla cancellazione dell'account • Dati di pagamento (identificativo Stripe): fino alla cancellazione dell'account, oltre ai termini previsti dagli obblighi fiscali (10 anni) • Conversazioni chatbot (contesto sessione): fino a un massimo di 72 ore a seconda del piano sottoscritto • Conversazioni chatbot: fino a un massimo di 12 mesi, poi anonimizzati • Feedback e recensioni ospiti: fino alla cancellazione da parte della struttura • Audit log: 12 mesi • Dati di Google Analytics: secondo le policy di Google (massimo 26 mesi) • File caricati: fino alla cancellazione da parte dell'utente 5.2 Alla cancellazione dell'account, i dati personali vengono rimossi entro 30 giorni, salvo obblighi legali di conservazione. 5.3 L'utente può revocare il consenso al trattamento in qualsiasi momento, senza pregiudizio per la liceità del trattamento basato sul consenso prestato prima della revoca. 6. Soggetti ai quali i dati potranno essere comunicati 6.1 Nei limiti e per le finalità indicate nel GDPR, i dati personali potranno essere comunicati ai seguenti fornitori di servizi, necessari al funzionamento della Piattaforma: • Stripe, Inc. (USA, con Clausole Contrattuali Standard): elaborazione pagamenti e gestione abbonamenti • Resend, Inc. (USA, con SCC): invio email transazionali • Supabase, Inc. (server UE — Francoforte): database e archiviazione file • Anthropic, PBC (USA, con SCC): elaborazione conversazioni chatbot tramite intelligenza artificiale • Google LLC (USA, con SCC): analytics del sito web (solo previo consenso dell'utente) • Upstash, Inc. (server UE): rate limiting per la sicurezza (solo indirizzo IP) • Vercel, Inc. (server UE/USA): hosting dell'applicazione web 6.2 I trasferimenti verso Paesi Terzi (in particolare gli Stati Uniti) avvengono sulla base di EU-US Data Privacy Framework (DPF) - per i destinatari certificati, Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea e di adeguate garanzie contrattuali e tecniche previste nei DPA stipulati con ciascun fornitore. 6.3 ADV non vende, affitta né condivide i dati personali per finalità di marketing di terzi. 6.4 I dati personali potranno anche essere comunicati a tutti quei soggetti pubblici o privati la cui comunicazione sia obbligatoria per legge o necessaria per esigenze di natura fiscale. 7. Diritti dell'interessato L'interessato gode dei diritti previsti dagli artt. 15-22 del GDPR. In particolare: a) Diritto di accesso (art. 15): ottenere conferma dell'esistenza dei propri dati e una copia degli stessi, incluse le finalità del trattamento, le categorie di dati, i destinatari, il periodo di conservazione. b) Diritto di rettifica (art. 16): correggere dati inesatti o incompleti. c) Diritto alla cancellazione — "diritto all'oblio" (art. 17): richiedere la cancellazione dei propri dati personali. d) Diritto alla limitazione del trattamento (art. 18): richiedere la limitazione del trattamento in determinate circostanze. e) Diritto alla portabilità dei dati (art. 20): ricevere i propri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico. f) Diritto di opposizione (art. 21): opporsi al trattamento basato sul legittimo interesse. g) Diritto di revoca del consenso (art. 7): ritirare il consenso in qualsiasi momento, senza pregiudizio per il trattamento precedente. L'esercizio dei diritti può essere esercitato rivolgendosi direttamente al Titolare del trattamento indicato nell'art. 8. L'interessato ha inoltre il diritto di presentare reclamo all'Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it). 8. Titolare del trattamento Il Titolare del trattamento dei dati è ADV GROUP di P.F. con sede in Via Roveredo 20/b, 33170 Pordenone (PN), Italia, P.IVA 01661510931. Email: support@reception24.com PEC: advgroup@legalmail.it Nella persona del titolare. L'elenco aggiornato dei responsabili del trattamento dei dati può essere richiesto direttamente al Titolare. 9. Modifiche a questa privacy policy 9.1 Il Titolare del trattamento si riserva il diritto di apportare modifiche alla presente privacy policy in qualunque momento dandone pubblicità su questa pagina. In caso di modifiche sostanziali, ne darà comunicazione tramite email o avviso sulla Piattaforma. Si prega dunque di consultare spesso questa pagina, prendendo come riferimento la data di ultima modifica indicata a fondo pagina. 9.2 In ogni caso, i dati personali già comunicati a ADV non potranno essere utilizzati per scopi diversi da quelli indicati da ADV agli interessati al momento della loro raccolta, a meno che non ci sia un nuovo esplicito consenso dell'interessato. 10. Minori Il servizio non è destinato a persone di età inferiore a 16 anni. ADV non raccoglie consapevolmente dati di minori. Se un genitore o tutore ritiene che un minore abbia fornito dati personali, può contattare il Titolare per richiederne la cancellazione.